Área de diseño de la administración de identidad y acceso

  • Artículo

El área de diseño de administración de identidad y acceso proporciona procedimientos recomendados que puede usar para establecer la base de su arquitectura de nube pública segura y totalmente compatible.

Las empresas pueden tener entornos tecnológicos complejos y heterogéneos, por lo que la seguridad es fundamental. Una sólida administración de identidad y accesos constituye la base de la protección moderna al crear un perímetro de seguridad en una nube pública. Los controles de autorización y acceso garantizan que solo los usuarios autenticados con dispositivos verificados puedan acceder y administrar aplicaciones y recursos. Garantiza que la persona adecuada pueda acceder a los recursos adecuados en el momento oportuno y por el motivo adecuado. También proporciona un registro de auditoría fiable y el no repudio de las acciones de identidad del usuario o de la carga de trabajo. Debe proporcionar un control de acceso empresarial coherente, incluido el acceso de usuario, el control y los planos de administración, el acceso externo y el acceso con privilegios, para mejorar la productividad y mitigar el riesgo de elevación de privilegios no autorizados o filtración de datos.

Azure ofrece un conjunto completo de servicios, herramientas y arquitecturas de referencia para ayudar a su organización a crear entornos muy seguros y más eficientes desde el punto de vista operativo. Hay varias opciones para administrar la identidad en un entorno en la nube. Cada opción varía en función del costo y la complejidad. Determine sus servicios de identidad basados en la nube en función de cuánto necesite integrarlos con su infraestructura de identidad local existente. Para obtener más información, consulte la Guía de decisiones de identidad.

Administración de identidad y acceso en zonas de aterrizaje de Azure

La administración de identidad y acceso es una consideración fundamental tanto en las zonas de aterrizaje de plataformas como de aplicaciones. Bajo el principio de diseño de la democratización de la suscripción, los propietarios de aplicaciones deben tener la autonomía de administrar sus propias aplicaciones y recursos con una intervención mínima por parte del equipo de la plataforma. Las zonas de aterrizaje son un límite de seguridad, y la administración de identidad y acceso proporciona una forma de controlar la separación de una zona de aterrizaje de otra, junto con componentes como las redes y Azure Policy. Aplique un diseño sólido de administración de identidad y acceso para ayudar a lograr el aislamiento de la zona de aterrizaje de la aplicación.

El equipo de la plataforma es responsable de la base de la administración de identidad y acceso, incluida la implementación y administración de servicios de directorio centralizados, como Microsoft Entra ID, Microsoft Entra Domain Services y Active Directory Domain Services (AD DS). Los administradores y usuarios de las zonas de aterrizaje de aplicaciones que acceden a las aplicaciones consumen estos servicios.

El equipo de aplicaciones es responsable de la administración de identidad y acceso de sus aplicaciones, incluida la protección del acceso de los usuarios a las aplicaciones y entre los componentes de la aplicación, como Azure SQL Database, las máquinas virtuales y Azure Storage. En una arquitectura de zona de aterrizaje bien implementada, el equipo de aplicaciones puede consumir sin esfuerzo los servicios que proporciona el equipo de la plataforma.

Muchos de los conceptos fundamentales de administración de identidad y acceso son los mismos en las zonas de aterrizaje de plataforma y aplicación, como el control de acceso basado en roles (RBAC) y el principio de privilegios mínimos.

Revisión del área de diseño

Funciones: la administración de identidad y acceso requiere la compatibilidad con una o varias de las siguientes funciones. Los roles que realizan estas funciones pueden ayudar a tomar e implementar decisiones.

Ámbito: el objetivo de esta área de diseño es ayudarle a evaluar las opciones de la base de identidad y acceso. Al diseñar la estrategia de identidad, debe realizar las siguientes tareas:

  • Autenticar las identidades de los usuarios y las cargas de trabajo.
  • Asignar el acceso a los recursos.
  • Determinar los requisitos básicos para la separación de funciones.
  • Sincronizar identidades híbridas con Microsoft Entra ID.

Fuera del ámbito: la administración de identidad y acceso constituye una base para el control de acceso adecuado, pero no cubre aspectos más avanzados como:

  • El modelo de confianza cero.
  • La administración operativa de privilegios elevados.
  • Barreras de protección automatizadas para evitar errores comunes de identidad y acceso.

Las áreas de diseño de cumplimiento para la seguridad y la gobernanza abordan los aspectos fuera del ámbito. Para obtener recomendaciones completas para la administración de identidad y acceso, consulte Procedimientos recomendados de seguridad de administración de identidades y control de acceso de Azure.

Introducción al área de diseño

La identidad es la base de una gran variedad de garantías de seguridad. Concede el acceso en función de los controles de autenticación y autorización de identidades en los servicios en la nube. El control de acceso protege los datos y recursos, y ayuda a determinar qué solicitudes se deben permitir.

La administración de identidad y acceso ayuda a proteger los límites internos y externos de un entorno de nube pública. Es la base de cualquier arquitectura de nube pública segura y totalmente compatible.

En los siguientes artículos se examinan las consideraciones de diseño y las recomendaciones para la administración de identidad y acceso en un entorno de nube:

Para obtener instrucciones sobre cómo diseñar soluciones en Azure mediante patrones y procedimientos establecidos, consulte Diseño de arquitectura de identidad.

Sugerencia

Si tiene varios inquilinos de Microsoft Entra ID, consulte Zonas de aterrizaje de Azure y varios inquilinos de Microsoft Entra.

Pasos siguientes

Identidad híbrida con Active Directory y Microsoft Entra ID